Google Ungkap Celah Keamanan Besar di iPhone

1 September 2019 13:21 WIB
comment
6
sosmed-whatsapp-white
copy-link-circle
more-vertical
iPhone XS dan iPhone XS Max. Foto: Stephen Lam/Reuters
zoom-in-whitePerbesar
iPhone XS dan iPhone XS Max. Foto: Stephen Lam/Reuters
ADVERTISEMENT
Peneliti keamanan di tim Project Zero Google mengaku telah menemukan beberapa situs web yang menyebarkan malware ke perangkat iPhone dalam dua tahun terakhir. Masalah ini dibeberkan oleh Ian Beer, salah seorang peneliti dalam Project Zero, di blog mereka pada Kamis (29/8).
ADVERTISEMENT
“Awal tahun ini Google Threat Analysis Group (TAG) menemukan koleksi kecil situs yang diretas. Situs yang diretas digunakan dalam serangan terhadap pengunjung mereka, menggunakan iPhone 0-day,” beber Beer, dalam blog Project Zero.
0-day atau zero day itu sendiri adalah istilah yang merujuk pada kerentanan ancaman keamanan yang tidak diketahui oleh pihak pengembang di dalam perangkat lunak mereka. Karena kerentanan tidak diketahui sebelumnya, serangan tersebut sering terjadi tanpa sepengetahuan pengguna.
Apple iPhone 7. Foto: REUTERS/Regis Duvignau
Menurut laporan Motherboard, serangan ini bisa jadi salah satu yang terbesar yang pernah dihadapi pengguna iPhone. Jika pengguna mengunjungi sebuah situs web menggunakan perangkat yang rawan, maka file pribadi mereka, pesan-pesan, dan lokasi real-time bisa diambil.
“Tidak ada diskriminasi target; cukup hanya dengan mengunjungi situs yang diretas maka server bisa mengeksploitasi serangan pada perangkat Anda, dan jika berhasil, akan terpasang implan pemantau di perangkat Anda. Kami perkirakan situs-situs ini menerima ribuan pengunjung setiap pekan," jelas Beer.
ADVERTISEMENT
Jika implan pemantauan itu telah terpasang di perangkat, maka file pribadi pengguna seperti foto, pesan, atau data mengenai lokasi nyata mereka berada dalam kondisi bahaya. Malware itu juga memungkinkan hacker untuk mengakses kata sandi yang disimpan oleh pengguna pada perangkat.
Ponsel iPhone X. Foto: Toru Hanai/Reuters
Dilansir The Verge, implan pemantau yang terpasang akibat situs berbahaya memang dapat terhapus jika pengguna me-reboot ponsel mereka. Meski demikian, para peneliti mengatakan bahwa sejak serangan tersebut menyasar pada sistem manajemen kata sandi Apple Keychain, maka para penyerang bisa mendapatkan akses otentikasi apa pun yang dimilikinya serta mempertahankan akses meski implan pemantau telah terhapus.
Beer juga melaporkan bahwa pihak TAG telah menghubungi Apple untuk melaporkan kerentanan pada Februari lalu. Mereka hanya memberi tenggat waktu 7 hari bagi Apple untuk menambal kerentanan yang ada.
ADVERTISEMENT
Apple kemudian menambal kerentanan tersebut dengan meluncurkan iOS 12.1.4 pada 7 Februari 2019. Meski demikian, Beer menyerukan bahwa pengguna iPhone mesti tetap waspada dengan kemungkinan serangan yang ada di masa depan.